Universidad Nacional Abierta y a Distancia – UNAD

Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas

Curso: Auditoria de Sistemas

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Auditoria en sistemas
Grupo: 90168_19

Fase 3 – Planeación y ejecución de la Auditoria

Presentado por:
ROBERTO JOSE SERRANO PEREZ
Código: 1114451738
DIEGO VARELA
Código:1113639731
PAOLA ANDREA RODRIGUEZ
Código: 52667062

Presentado a:
Tutor: FRANCISCO NICOLÁS SOLARTE

Escuela De Ciencias Básicas e Ingeniería (Ingeniería en Sistemas)

CEAD Palmira
Abril de 2018
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

INTRODUCCIÓN

Por medio del presente trabajo colaborativo, abordaremos temas enriquecedores

de la auditoria de sistemas, que se socializan en la Fase 3 – Planeación y
ejecución de la Auditoria.

Así mismo, vamos a compartir mediante los procesos CobIT del programa de
auditoria, diseñando instrumentos de recolección de información para proceder
con el proceso de auditoría.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

OBJETIVOS

Objetivo General

aprender a diseñar los instrumentos de recolección de la información de acuerdo

al estándar CobIT.

Objetivos Específicos

Utilizar los instrumentos diseñados y aplicarlos al proceso de auditoría.

Fortalecer nuestro campo visual en la auditoria en sistemas.

 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Cuadro de Consolidado

INTEGRANTE PROCESOS DOMINIOS OBJETIVOS DE COTROL

Roberto Jose Educación y DS6 DS6.1 Identificación de Necesidades
Serrano entrenamiento de de Entrenamiento y Educación
usuarios.
DS6.2 Impartición de Entrenamiento
y Educación

DS6.3 Evaluación del Entrenamiento

Recibido

Roberto Jose Administración de DS11 DS11.1 Requerimientos del Negocio

Serrano Datos. para Administración de Datos

DS11.2 Acuerdos de
Almacenamiento y Conservación

DS11.3 Sistema de Administración de

Librerías de medios

DS11.4 Eliminación

DS11.5 Respaldo y Restauración

DS11.6 Requerimientos de
Seguridad para la Administración de
Datos
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

APORTE ROBERTO JOSE SERRANO

Instrumento de recolección escogido el cual es:

 Cuestionario

Los dos procesos que escojo son:

 DS6 Educación y entrenamiento de usuarios

 DS11 Administración de Datos

Los procesos CobIT escogidos son los siguientes:

Proceso N° 1

Dominio

DS6

Procesos

Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén

haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y
responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo.

Objetivos de control

DS6.1 Identificación de Necesidades de Entrenamiento y Educación

DS6.2 Impartición de Entrenamiento y Educación

DS6.3 Evaluación del Entrenamiento Recibido

INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 1

ENTREVISTA
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

ENTIDAD UNIVERSIDAD ANTONIO NARIÑO PAGINA

AUDITADA 1 D 1
E
OBJETIVO Fortalecer el uso de las herramientas tecnológicas.
AUDITORÍA
PROCESO Educación y entrenamiento de usuarios.
AUDITADO
RESPONSABLE Roberto José Serrano Pérez
MATERIAL DE SOPORTE COBIT
DOMINIO DS6 PROCESO Educación y entrenamiento de
usuarios: El objetivo es asegurar
que los usuarios estén haciendo
un uso efectivo de la tecnología y
estén conscientes de los riesgos
y responsabilidades involucrados
realizando un plan completo de
entrenamiento y desarrollo.

ENTREVISTADO Doris Elena Martinez

CARGO Auxiliar de Biblioteca

1. ¿Cuenta con todas las herramientas tecnológicas disponibles para realizar

mejor su desempeño?

Si, la universidad me aporta las herramientas necesarias para elaborar mi trabajo

acorde a lo solicitado.

2. ¿Qué función desempeña en la Universidad?

Mi función es prestar los libros y recursos bibliográficos con que cuenta la biblioteca
de la universidad

3. ¿Cuáles son las herramientas tecnológicas que usa frecuentemente en su día

a día?

El computador y el lector de códigos de barras

4. ¿Considera usted que su conocimiento frente al uso de las tecnologías es

básico, intermedio, avanzado, justifique su respuesta?
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Creo que es básico porque las tecnologías son algo complejas y dentro de mi trabajo
solo utilizo una parte que he aprendido mediante capacitaciones que se requieren
para laborar en mi puesto.

5. ¿Con que intensidad realiza capacitaciones para el uso de las herramientas

tecnológicas?

La verdad es que son muy pocas la capacitación referente a las tecnologías se

puede decir que son una vez por semestre
6. ¿Qué tipo de capacitaciones le gustaría realizar?

Manejo de Excel, porque creo que es indispensable por estos tiempos

7. ¿Las características del equipo son suficientes para el desempeño de su
trabajo?

Si el computador me parece muy bueno además es muy reciente

8. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?

Cuando me falla el equipo lo que hago es acudir al área de sistemas de la

universidad quien se encarga de estos asuntos.
9. ¿Qué tipo de software maneja para el desempeño de sus labores cotidianas?

Manejo Excel, Word ya que el resto de cosas que se realizan son en línea
10. ¿Cuenta con el conocimiento suficiente para el uso del software que utiliza en
su día a día?

Si creo que hasta el momento todo es acorde a mi trabajo

11. ¿Desea agregar algún otro comentario sobre los temas en relación de la
entrevista?

Ninguna

Doris Elena Martínez Diego Fernando Varela

______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

LISTA DE CHEQUEO

LISTA CHEQUEO
Educación y
DOMINIO DS6 PROCESO entrenamiento de
usuarios
DS6.1 Identificación de Necesidades de
OBJETIVO DE CONTROL
Entrenamiento y Educación
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Se realizan capacitaciones para
Aunque muy pocas
1 el manejo del aplicativos? X
veces

OBJETIVO DE CONTROL DS6.2 Impartición de Entrenamiento y Educación

¿Es consciente del uso adecuado
2 de las herramientas X Creo que son vitales
tecnológicas?
OBJETIVO DE CONTROL DS6.3 Evaluación del Entrenamiento Recibido
Si, pero más bien
relacionado con salud
¿Ha recibido usted algún plan de
ocupacional en el
3 capacitación para mejorar su X
trabajo, es decir muy
desempeño laboral?
poco sobre lo
tecnológicos
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

CUESTIONARIO

CUESTIONARIO CUANTITATIVO REF

ENTIDAD UNIVERSIDAD ANTONIO NARIÑO PAGINA

AUDITADA 1 DE 1
PROCESO Educación y entrenamiento de usuarios
AUDITADO
RESPONSABLES Roberto José Serrano Pérez
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO DS6 PROCESO DS6.1 Identificación de
Necesidades de
Entrenamiento y
Educación

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 ¿Considera que es importante el uso 4
adecuado de las TICS?
2 ¿Conoce sobre las políticas utilizadas 1 3
por el área de Tecnología?
3 ¿Realiza periódicamente capacitaciones 2 2
en donde se incluya al usuario como
principal capa de seguridad?
4 ¿Realizan seguimiento para evaluar el 4
conocimiento adquirido en el campo
laboral que se encuentra usted?
5 ¿Existe un plan de acción para mitigar 4
los espacios en blancos “Dudas o
inquietudes” sobre el uso de software?
6 ¿Los aplicativos o software que utiliza 4
son adecuados para el desarrollo de su
actividad laboral?
TOTAL 15 9
TOTAL, CUESTIONARIO 24
Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %
Porcentaje de riesgo total = 100 – 12,5 = 87,5 %
PORCENTAJE RIESGO 87,5 % (Riesgo Alto)
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Proceso N° 2

Dominio

DS11

Procesos

Administración de Datos: El objetivo es asegurar que los datos permanezcan completos,

precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de
una combinación efectiva de controles generales y de aplicación sobre las operaciones de
TI

Objetivos de control

DS11.1 Requerimientos del Negocio para Administración de Datos

DS11.2 Acuerdos de Almacenamiento y Conservación

DS11.3 Sistema de Administración de Librerías de medios

DS11.4 Eliminación

DS11.5 Respaldo y Restauración

DS11.6 Requerimientos de Seguridad para la Administración de Datos

 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 2

ENTREVISTA

ENTIDAD UNIVERSIDAD ANTONIO NARIÑO PAGINA

AUDITADA 1 D 1
E
OBJETIVO Brindar una mejor seguridad en el manejo y control de la
AUDITORÍA información de la empresa.
PROCESO Administración de Datos.
AUDITADO
RESPONSABLE Roberto José Serrano Pérez
MATERIAL DE SOPORTE COBIT
DOMINIO DS11 PROCESO Administración de Datos: El
objetivo es asegurar que los
datos permanezcan completos,
precisos y válidos durante su
entrada, actualización, salida y
almacenamiento, a través de
una combinación efectiva de
controles generales y de
aplicación sobre las operaciones
de TI.

ENTREVISTADO Octavio de la Cruz

CARGO Auxiliar de Computo

1. ¿Realizan copias de seguridad en la empresa?

Si se realiza copias de seguridad

2. ¿Cada cuánto realizan copias de seguridad de la información de su dispositivo

o equipo móvil?

Semestralmente es decir alrededor de 6 meses

3. ¿Conoce sobre qué seguridad tiene para la conservación de la información?

Si, se tiene un disco duro aparte de todos los equipos y allí es guardado todo lo que
se realizan en las diferentes oficinas.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

4. ¿Alguna empresa maneja el sistema de Backup o lo hacen directamente en la

empresa?

La universidad realiza backup a toda la información que se hace en línea, pero no

conozco si es alguna empresa o si este proceso lo hace directamente la universidad

5. ¿Sabe sobre el manejo del almacenamiento en la nube?

Si regularmente lo utilizo para mi información personal.

6. ¿Sabe sobre políticas de la protección de datos?

Si la universidad nos ha hablado mucho de este tema por cuanto se tiene contacto
con muchas personas externas

7. ¿Conoce sobre la Ley 1581 de 2012 y el Decreto 1377 de 2013?

En lo personal no.
8. ¿La empresa maneja base de datos para los diferentes aplicativos?

Si cuenta con aplicativos, pero son controlados por la sede principal que está en
Bogotá

9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos?

No tengo conocimiento de esta información

10. ¿Para usted que son los datos personales?

Es toda la información que nos solicitan o que podemos solicitar

11. ¿Cómo protege usted sus datos personales?

Mediante claves y cambiándolas periódicamente

Octavio de la Cruz Diego Fernando Varela

______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
LISTA DE CHEQUEO
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

LISTA CHEQUEO
DS11 Administración de
DOMINIO PROCESO
Datos
DS11.1 Requerimientos del Negocio para
OBJETIVO DE CONTROL
Administración de Datos
CONFORME
N.º ASPECTO EVALUADO SI NO OBSERVACIÓN
¿El manejo de la información la La información es
1 realiza un tercero u proveedor? X manejada por la
universidad
OBJETIVO DE CONTROL DS11.2 Acuerdos de Almacenamiento y Conservación
¿Cuentan con control del
almacenamiento de la En algunos casos se
2 X
utiliza un ftp
información?
DS11.3 Sistema de Administración de Librerías de
OBJETIVO DE CONTROL
medios
¿Dentro de las copias de No conozco, pero me
3 seguridad se estructura algún tipo X supongo que debe
de control o seguimiento? tenerlo
OBJETIVO DE CONTROL DS11.4 Eliminación
La información debe
estar disponible en
¿Cuentan con versionamiento en
4 X cualquier momento y
las copias de seguridad?
para cualquier
equipo(sistema)
OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración
En la sede solo
¿Cuentan con un plan en caso de
contamos con lo que se
5 tener alguna perdida o daño sobre X
guarda en el backup de
la información?
quipos
DS11.6 Requerimientos de Seguridad para la
OBJETIVO DE CONTROL
Administración de Datos
¿Cuentan con políticas para la Si la universidad es muy
6 X
protección de datos? clara en ese sentido
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

CUESTIONARIO

CUESTIONARIO CUANTITATIVO REF

ENTIDAD UNIVERSIDAD ANTONIO NARIÑO PAGINA

AUDITADA 1 DE 1
PROCESO Administración de Datos
AUDITADO
RESPONSABLES Roberto José Serrano Pérez
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO DS11 PROCESO Administración de
Datos: El objetivo es
asegurar que los datos
permanezcan
completos, precisos y
válidos durante su
entrada, actualización,
salida y
almacenamiento, a
través de una
combinación efectiva
de controles generales
y de aplicación sobre
las operaciones de TI

OBJETIVO DE CONTROL DS11.6 Requerimientos de Seguridad para la

Administración de Datos
N PREGUNTA SI NO NA REF
1 ¿La información de su equipo cuenta con 4
copias de seguridad?
2 ¿Almacena usted información en la 2 2
nube?
3 ¿Realiza periódicamente copias de 1 3
seguridad?
4 ¿Cuenta con un plan de trabajo para 4
realizar las copias de seguridad?
5 ¿Conoce sobre las políticas frente al 1 3
plan de seguridad de la información?
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

6 ¿Sabe sobre las políticas de bases de 1 3

datos?
TOTAL 9 15
TOTAL, CUESTIONARIO 24
Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %
Porcentaje de riesgo total = 100 – 12,5 = 87,5 %
PORCENTAJE RIESGO 87,5 % (Riesgo Alto)

PROCESO DE ANÁLISIS Y EVALUACIÓN DE RIESGOS – ROBERTO SERRANO

Vulnerabilidades

1. No se realiza capacitaciones con regularidad.

2. No existe evidencia de las capacitaciones.
3. Los equipos no cuentan con copias de seguridad periódicas.
4. Falta cronograma para las actividades de capacitación.

Amenaza

1. No existen copias de seguridad periódicas.

2. No hay conocimientos de los periodos para realizar copias de seguridad.
3. No existe cronograma para la realización de las capacitaciones.
4. Se desconoce sobre las políticas sobre la protección y seguridad de la información.
5. No existe seguimiento regular en el uso de aplicativos tecnológicos en el campo laboral.

Riesgos

1. No hay copias de seguridad periódicas.

2. No tienen conocimientos de las herramientas tecnológicas que utilizan.
3. Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones.
4. Se presentan problemas por falta de conocimiento sobre las políticas.
5. No existe una política clara sobre la protección y seguridad de la información.
6. No cuentan con un plan para eventos de respaldo de la información.
7. Afectación de la integridad de los datos.
8. Afectación de la disponibilidad del respaldo de la información de los procesos.
9. Falta de personal debidamente autorizado para la realización de las actividades del
proceso.

MATRIZ DE PROBABILIDAD DE IMPACTO

 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso

Evaluación de Riesgos

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 No hay copias
de seguridad X X
periódicas
R2 No tienen
conocimientos
de las
X X
herramientas
tecnológicas
que utilizan.
R3 Insatisfacción
por parte de los
usuarios
X X
respecto a la
falta de
capacitaciones.
R4 Se presentan
problemas por
falta de
X X
conocimiento
sobre las
políticas.
R5 No existe una
política clara
sobre la
X X
protección y
seguridad de la
información.
R6 No cuentan con
un plan para
eventos de X X
respaldo de la
información.
R7 Afectación de
la integridad de X X
los datos.
R8 Afectación de
la
disponibilidad X X
del respaldo de
la información
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

de los
procesos.
R9 Falta de
personal
debidamente
autorizado para
X X
la realización
de las
actividades del
proceso.

Resultado Matriz de riesgos

R6 R1, R5, R8
Alto
61-100%
PROBABILIDAD

Medio R4, R9 R3, R7

31-60%

Bajo R2
0-30%
Leve Moderado Catastrófico

IMPACTO
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

CONCLUSIÓN

La auditoría de sistemas, es una herramienta que permite ejercer control sobre

el activo más importante de una compañía, el cual es la información, como
profesionales de sistemas, debemos tener los conceptos claros de la unidad
formativa, esto con el propósito de salva guardar toda la infraestructura dentro
de una compañía.

La auditoría de sistemas nos permitirá generar correctivos, por medio planes de

trabajo, planes de acción proyectos, o demás implementaciones que
enriquecerán la seguridad del ecosistema en el cual se mueve la información.
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

BIBLIOGRAFÍA

Referencias bibliográficas requeridas

Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de

http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=
book&issn=edselb.61F234B4&ISBN=9781449209667&volume=&issue=&date=
20090101&spage=&pages=&title=T%c3%a9cnicas%20de%20la%20auditor%c
3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20de%20la%20audit
or%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=DOI:

Echenique, J. A. (2001). Auditoría en Informática. Ciudad de México, México:

Editorial McGraw-Hill.

Espino, M. G. (2014). Fundamentos de auditoría. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?docID=110
38908&ppg=4

Gómez, Á. (2014). Auditoría de seguridad informática. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=1104
6196

Huesca, G. (2012). Auditoria informática. Recuperado de

https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

Tamayo, A. (2001). Auditoría de sistemas una visión práctica. Recuperado de

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=audito
r%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=
false

OVA Unidad 1: El objeto virtual de aprendizaje presenta los conceptos de

vulnerabilidad, amenaza y riesgos y su clasificación.

Solarte, F. N. J. (Productor). (2016). Riesgos informáticos y su clasificación. De

http://hdl.handle.net/10596/10236

Solarte, F. N. J. (30 de noviembre de 2011). Auditoría informática y de sistemas.

Recuperado de
 Universidad Nacional Abierta y a Distancia – UNAD
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas
Curso: Auditoria de Sistemas

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html